論內部控制與企業(yè)風險管理

[摘要] 企業(yè)風險管理是一個涉及到企業(yè)內外各個方面的人的利益的問題。我國企業(yè)亟需加強風管理，防止因人的因素導致的企業(yè)風險管理的失靈。實現(xiàn)最佳企業(yè)風險管理的效果，應結合企業(yè)戰(zhàn)略的定、企業(yè)內部控制和平衡計分卡的運用。

[關鍵詞] 企業(yè)風險管理 內部控制 平衡計分卡

一、建立有效的內部控制體系是防范企業(yè)風險有效途徑

內部控制是指企業(yè)為了保證業(yè)務活動的有效進行，保護資產的安全和完整，防止、發(fā)現(xiàn)、糾正錯誤和舞弊，保證會計資料及相關資料的真實、合法、完整而制定和實施的政策與程序。美國在2002年7月頒布了《薩班斯——奧克斯利》(SOX)法案。SOX404條款要求公司在報送的財務報告中，對公司的內部控制架構和它的有效性進行評估，所有的上市公司的內部控制制度都要達到SOX404條款規(guī)定的標準要求。可見，內部控制制度對防范企業(yè)風險的重要性。

良好的內部控制可以合理保證企業(yè)合規(guī)經營、財務會計信息的真實可靠和企業(yè)經營效率的提高，而合規(guī)經營、真實的財務報告和有效率的經營也正是企業(yè)風險管理所應該達到的基本狀態(tài)。從這個角度出發(fā)，內部控制是風險管理的必要環(huán)節(jié)。內部控制的動力來自企業(yè)對風險的認識和管理。相反，如果沒有良好的內部控制，則往往會導致各種錯誤和舞弊的產生，甚至造成企業(yè)的破產倒閉。從國內的巨人集團衰敗、銀廣廈案到國外的巴林銀行倒閉、安然事件等無不是由于其內部控制缺損或失效所致。因此，內部控制是防范企業(yè)風險事件發(fā)生的一種長效機制。

二、保證內部控制有效性必須注意以下問題

內部控制按其控制的目的不同，可分為管理控制和會計控制。前者以提高企業(yè)經營效益和工作效率，保證經營方針、決策的貫徹執(zhí)行以及經營目標的實現(xiàn)為目的;后者則是以保護企業(yè)財產物資的安全、確保會計信息的真實與完整以及財務活動的合法性為目的。兩者相互聯(lián)系、相互影響，有些控制措施可以用于會計控制，也可用于管理控制。內部控制在企業(yè)管理實務中的表現(xiàn)通常是制度或工作流程，其有效性取決于兩個方面：一是制度的完善與合理;二是制度的執(zhí)行情況。具體來說要保證內控制度有效必須重點做好以下幾個方面的問題。

1.隨著企業(yè)發(fā)展和內外部環(huán)境的變化，與時俱進，不斷完善內部控制制度，適應企業(yè)運作的實際情況，既要避免制度管理上的盲點又要避免一些不必要環(huán)節(jié)和控制點，影響企業(yè)的運營效率和制度執(zhí)行的自覺性。企業(yè)內控制度的完善在于對關鍵風險控制點的有效掌控。事實上，包括像世通、安然在內，幾乎所有大公司都有一整套風險管理制度。這些制度涵蓋了從對外投資到差旅費報銷等所有環(huán)節(jié)，應有盡有。其實，企業(yè)的管理資源是有限的，控制需要耗費大量成本。如果企業(yè)將主要精力放在所有瑣碎細小的控制點上，顯然就有些舍本逐末了。

2.營造良好企業(yè)制度文化氛圍，形成遵守制度和按工作流程辦事的自覺性，創(chuàng)造良好的內部控制環(huán)境。對于一個企業(yè)而言，內部控制最大的困難不在于設計一套制度，而在于如何保證制度的執(zhí)行。內部控制的真正意義和價值就在于執(zhí)行。世通、安然、中石油新加坡公司破產案無不說明公司的風險來自于內控制度的失效和形同虛設。這些公司在內部控制制度都比較完善，有些還是請專門的中介機構設計和制定。因此，公司內部控制制度的根本就是授權和監(jiān)督，公司所有人的權限都是在這個組織中被授予的，并要得到有效監(jiān)督。任何人都不能凌駕于制度之上，否則制度只能是一紙空文，對企業(yè)風險的防范毫無作用。只有當企業(yè)中的每一個員工目標明確，觀念趨同，內部控制才更有實效。良好的企業(yè)文化氛圍能為內部控制程序的執(zhí)行創(chuàng)造良好的人文環(huán)境。

3.以人為本抓好管理控制。管理控制的范圍很廣，包括企業(yè)內部除了會計控制之外的所有控制，如企業(yè)發(fā)展戰(zhàn)略、組織結構、人事管理、安全和質量管理、部門間的關系協(xié)調和企業(yè)負責人及高層管理決策及行為等方面的控制，但重點是與人的行為緊密相關的組織結構、人事管理控制等。

三、構建企業(yè)風險管理及預警體系，做好企業(yè)風險的預警及防范工作

內部控制雖然可以防范企業(yè)風險，并構成風險管理的必要環(huán)節(jié)，但內部控制不能代替風險管理，因此，企業(yè)必須結合企業(yè)實際構建風險管理及預警機構，加強風險管理。只有這樣，當企業(yè)風險產生并威脅到企業(yè)的生存和發(fā)展時，才能及時化解風險。每個企業(yè)因其規(guī)模、所處行業(yè)等的不同其相應風險因素和防控手段都會不同，因此風險管理應因企而治，但總體來說應按照風險管理的基本程序作好風險識別、風險評估和風險控制，按照內部環(huán)境、目標制定、風險識別、風險評估、風險應對、控制活動、信息和溝通、監(jiān)控等要素構建風險管理的基本框架。

1.要結合企業(yè)實際制定風險管理總體目標。

2.明確風險控制責任，健全風險管理組織機構。

3.建立健全風險分析評估、預警、處置工作流程。要能夠很好地防范企業(yè)經營風險，必須按照風險級別建立一套有效的企業(yè)風險管理制度和流程。

參考文獻：

[1]湯敏茅于軾:現(xiàn)代經濟學前沿專題[M].北京：商務印書館，2002

[2]張連起:內部控制：一個棘手的任務[J].財務與會計，2004，(6)

[3]曹廷求:公司治理理論面臨的三大挑戰(zhàn)[J].工業(yè)企業(yè)管理，2004，(2)

[4]楊浩:現(xiàn)代企業(yè)理論與運行[M].上海：上海財經大學出版社，2004